Automatisiertes Onboarding von Mitarbeitern statt Prozess-Alptraum – der Anwenderbericht von Qonto

Vor allem schnell wachsende Unternehmen kennen das Problem: einer großen Anzahl neuer Mitarbeiter Zugriff auf eine noch größere Anzahl von vorhandenen Apps geben zu müssen. Berechtigungen, Zugriffsrichtlinien und zahlreiche Prozesse für das Onboarding von internen und externen Mitarbeitern laufen tendenziell schnell aus dem Ruder. Dieses Problem ist Qonto unvertraut. Der Anwenderbericht

von Ayoub El Aassal, Head of Security, Qonto

Das französische Zahlungsinstitut Qonto verdoppelt seine Mitarbeiterzahl nahezu jährlich. Die Anmeldung neuer Benutzer und den Zugriff auf die notwendigen Apps zu gewähren, war für die IT-Abteilung zu einem mittleren Alptraum geworden – den man möglichst schnell beenden wollte. Bei der Suche nach einer passenden Lösung stießen die Verantwortlichen auf Onelogin. Die Lösungen und die damit verbundenen Möglichkeiten sollten die wichtigsten Herausforderungen lösen, vor denen Qonto stand. Herausforderungen im Übrigen, vor denen zahlreiche kleinere und größere Unternehmen in der sich wandelnden Finanzwirtschaft stehen: Benutzer müssen sich leicht und sicher anmelden können. Gleichzeitig sollten sie schnell auf alle notwendigen Apps zugreifen können. Zahlreiche Anmeldenamen und unterschiedliche Kennwörter will man tunlichst vermeiden und die IT-Abteilung nicht durch ausufernde Berechtigungen, Richtlinien und Zugriffssteuerungen belasten.

Neue und vorhandene Apps müssen neuen Mitarbeitern zur Verfügung stehen – und das schnell

Kommen neue Apps zum Einsatz oder sollen neue Mitarbeiter an bereits vorhandene Apps angebunden werden, dürfen dazu keine stundenlangen Technikereinsätze notwendig sein. Mit wenigen Zeilen Code müssen eine Vielzahl von Objekten automatisiert miteinander verbunden werden und den Benutzern zur Verfügung stehen. Die Benutzerkonten sollen möglichst schnell zur Verfügung stehen und die Anwender sich mit einem einzelnen Konto an sämtlichen Apps anmelden können. Gleichzeitig soll die Umgebung maximal sicher sein.

Eine wichtige Basis ist dafür die Zuordnung von Rollen und Gruppen, denen die Mitarbeiter zugewiesen sind. Dabei darf es keine Rolle spielen, ob es sich um interne, externe, unbefristete oder befristete Mitarbeiter handelt.

Das Onboarding muss schnell, sicher und automatisiert ablaufen. Die IT-Abteilung soll schließlich entlastet und nicht mit zusätzlichen Lösungen belastet werden.”

Parallel dazu sollen sich die Benutzer sicher und gleichzeitig möglichst einfach authentifizieren können. Die Sicherheit lässt sich unter anderem über eine richtlinienbasierte Multifaktor-Authentifizierung (MFA) regeln. Damit ein Benutzer den Anmeldeprozess nicht für jede App durchlaufen muss, ist Single-Sign-On (SSO) hier die zusätzliche Technologie der Wahl. Durch diese Kombination können Mitarbeiter sich schnell und sicher anmelden, und sie bekommen gleichzeitig Zugriff auf alle angebundenen Apps, unabhängig von der Anzahl. Im hier geschilderten Fall ist es möglich, bei Onelogin Richtlinien für die Benutzer als auch Richtlinien für Apps zu hinterlegen. Diese Richtlinien lassen sich ihrerseits für die Zugriffssteuerung miteinander verknüpfen.

Phishing verhindern, Benutzerverhalten analysieren

Wenn man Technologien zur automatisierten Einbindung neuer Mitarbeiter einsetzt, spielt naturgemäß der Schutz vor Phishing eine gewichtige Rolle. Parallel beispielsweise zu den üblichen Mitarbeiterschulungen sorgt eine richtlinienbasierte MFA im Hintergrund für Sicherheit, ohne Anwender bei ihrer Arbeit zu stören. Im Idealfall überwacht ein solches System das Anwenderverhalten und erkennt verdächtiges Verhalten oder Anzeichen dafür. Das hilft, Angriffe zu unterbinden, bevor sie Schaden anrichten können.

Mit einer manuellen Protokollanalyse der angebundenen Anwendungen ist das nicht möglich. Man braucht zwingend ein System, das Kontrolle über die Benutzerkonten hat und gleichzeitig in der Lage ist, die angebundenen Apps zu überwachen. Die anfallenden Daten lassen sich analysieren und Auffälligkeiten sofort identifizieren. Dabei ist das Zusammenspiel mit existierenden Sicherheitslösungen ganz zentral. Die Funktionsmerkmale der gewählten Lösungen unterstützen die vorhandenen Intrusion Detection/Prevention Systeme ebenso wie sie die SIEM-Lösung speisen. Und die OneLogin-Lösung selbst überwacht das Benutzer- und Anmeldeverhalten und erkennt dadurch verdächtige Anmeldungen. Hier kann man Regeln definieren, um die Anmeldung zu blockieren oder den Zugriff auf bestimmte Apps und deren Daten filtern.

Zugriffe über Cloud-Apps zuverlässig absichern

Neben den Apps in lokalen Rechenzentren (On-Premises) kommen häufig Apps in der Cloud zum Einsatz. Auch sie sollen in das System so eingebunden werden, dass die Authentifizierungs-Plattform sie genauso verwalten kann, wie lokale Apps. Qonto verzichtet hier auf eine Whitelist für IP-Adressen und VPNs, sondern stützt sich auf Zugriffsrichtlinien in Onelogin, die in AWS Gültigkeit haben. Qonto setzt bei seinen Lösungen nahezu vollständig auf AWS. Dazu kommen Google Workspace und Kubernetes. Es kommen verschiedene Microservices zum Einsatz, die wiederum über Kafka orchestriert werden. Die Verwendung unterschiedlicher Kennwörter für sämtliche dieser Lösungen im Griff zu behalten, ist nahezu unmöglich.

Um Identitäten sinnvoll zu steuern, bietet sich eine zentrale Plattform an. Sie erleichtert den Benutzern die Anmeldung und bietet gleichzeitig ein hohes Maß an Sicherheit, inklusive dem Schutz vor Phishing-Attacken.”

Onboarding und Offboarding sollten schnell, effizient und ressourcenschonend ablaufen. Das lässt sich am besten über eine zentrale Plattform bewerkstelligen.

Objektive Entlastung

Im Rahmen der Integration von Onelogin konnte das Google Workspace-Verzeichnis, das Qonto bereits zuvor im Einsatz hatte, zügig importiert werden. Für Qonto ist das Google-Verzeichnis die Hauptquelle für das Speichern von Anmeldedaten. Das Anlegen der Anmeldedaten übernimmt die Personalabteilung. Onelogin synchronisiert die Daten mit Google und verwendet diese für die Authentifizierung. Die IT-Abteilung kann dann Richtlinien und Regeln zentral steuern und überwachen.

Mehrere AWS-Konten parallel einzusetzen, ist ebenfalls problemlos möglich. So konnten im Rahmen der Integration von Onelogin durch die API ein Großteil aller von Qonto genutzten Apps in nicht ganz zwei Monaten angebunden werden.”

Aktuell authentifizieren sich Anwender über eine Webanwendung an Onelogin mit einem einzelnen Anmeldevorgang an derzeit fast 170 Apps. Es ist möglich, die Authentifizierung über einen lokal installierten Agenten durchzuführen. Onelogin arbeitet parallel noch mit einer optionalen zertifikatsbasierten Authentifizierung. Das erspart dem Anwender das Eingeben von Kennwörtern.

Durch SSO greifen die Benutzer auf Basis von Richtlinien und den zugewiesenen Rollen und Gruppen schnell, flexibel und vor allem sicher auf alle diese Apps zu. Neue Mitarbeiter melden sich ebenfalls ausnahmslos direkt über Onelogin an und erhalten Zugriff auf alle benötigten Apps, ohne dass ein Techniker sich mühsam durch alle Rechte klicken muss. Durch richtlinienbasiertes MFA ist gleichzeitig für alle Apps ein maximaler Schutz vor Phishing gegeben.

Gleichzeitig ist sichergestellt, dass sämtliche Anmeldedaten auf Servern in der EU gespeichert sind. Benutzerkonten, Rollen und Gruppen werden hier flexibel kombiniert. Und dies gestattet den Einsatz in nahezu jeder Umgebung.

Denn Berechtigungen können richtlinienbasiert, dynamisch vergeben werden und sind jederzeit anpassbar. Neue Apps lassen sich genauso in das System integrieren, wie neue Mitarbeiter.”

Auf Basis der bereits vorhandenen Regeln erfolgt das Onboarding schnell und automatisiert.

Anmeldung bei Qonto über OneLogin

Die Anmeldung an den Apps bei Qonto erfolgt über MFA, und das für jeden Benutzer. Parallel dazu kommt SSO zum Einsatz. Über den Risiko-Score einer Anwendung lässt sich steuern, dass MFA nicht für jede App zum Einsatz kommen muss. Für MFA unterstützt Onelogin verschiedene Lösungen, neben einer eigenen App und den üblichen Apps von Google und Microsoft kommen biometrische Systeme, Stimmerkennung und SMS zum Einsatz. Auch RSA SecurityID kann hier genutzt werden.

Das maximiert die Sicherheit, ohne die Flexibilität zu beeinträchtigen. Natürlich lässt sich kein hundertprozentiger Schutz gewährleisten, aber der Sicherheitslevel steigt. Zum Einsatz kommen an dieser Stelle WebAuthn und Fido2, also übliche Verfahren für die Umsetzung von MFA.

 Die einmal durchgeführte und sehr sichere Anmeldung gilt dann für alle angebundenen Apps. Bei mehr Sicherheit entlastet das System die Anwender bei der Anmeldung und die IT-Mitarbeiter beim Onboarding.”

Neben MFA kann für Apps, die eine noch höhere Sicherheit benötigen, auch festgelegt werden, dass der Zugriff nur von vertrauenswürdigen Geräten aus erfolgen darf. Zusammen mit MFA 3.0 (SmartFactor) erhöht das die Sicherheit zusätzlich, ohne dass dies zu Lasten der Bedienbarkeit und des Onboardings geht. Das System erkennt ungewöhnliches Anmeldeverhalten und reagiert entsprechend, ohne den Benutzer bei jeder Anmeldung unnötig auszubremsen. Hier wiederum lassen sich Whitelists mit IP-Adressen und festgelegte Sicherheitseinstellungen hinterlegen.

Fazit

Qonto setzt nicht auf die Art von Sicherheit, bei der man prinzipiell Vertrauen unterstellt. Etwa in dem Sinne „dieser Partner kommt von dieser IP-Adresse, also darf er passieren.“ Qonto arbeitet deshalb an weiteren Möglichkeiten, Sicherheitselemente systematisch zu überprüfen – bei jedem Schritt, transparent und effizient. Dabei ist OneLogin eine zentrale Komponente unter vielen anderen.

Die Integration zwischen AWS und OneLogin dient dazu, Benutzern, die Zugriff auf Anwendungen benötigen, vor Ort Regeln zuzuweisen.”

So können diese Benutzer über ein einziges Konto auf alle benötigten Ressourcen zugreifen, wozu früher mehrere Konten erforderlich waren. Diese temporären Zugriffsregeln lassen sich ganz simpel zuweisen. Dies ist nur ein Beispiel dafür, wie Qonto OneLogin nutzt, um einen möglichst hohen Sicherheitslevel mit größtmöglicher Flexibilität auszubalancieren.Ayoub El Aassal, Qonto